AUDITORIA INFORMATICA

Carlos A Jara

Mejora la Imagen del negocio.

Genera confianza entre los clientes internos y

externos sobre la seguridad y el control.

Disminuye los costos de la mala calidad

(reprocesos, rechazos, tiempos perdidos,

sanciones por entregas de información a

destiempo).

Sirve apoyo a la alta gerencia para establecer y

mejorar controles a los sistemas de información.

IMPORTANCIA DE LA AUDITORIA INFORMATICA

AUDITORIA

Proceso sistemático en el que

se utilizan técnicas y métodos

para evaluar los controles

establecidos en una

organización, obtener las

evidencias, analizarlas,

identificar y evaluar niveles de

cumplimiento, detectar

posibles riesgos y presentar

recomendaciones para un

mejoramiento continuo.

Controles actuales Verificación Cumplimiento

El Es Deber ser

AUDITORIAS

Por su origen

Auditoria Interna

Auditoria Externa

AUDITORIA INFORMÁTICA

La auditoría informática es el proceso

de recoger, agrupar y evaluar

evidencias para determinar si los

controles establecidos, permiten

salvaguardar los recursos

informáticos y garantizan la

integridad, disponibilidad y

confidencialidad de los datos e

información de la empresa, si lleva a

cabo eficazmente los fines de la

organización y utiliza eficientemente

los recursos.

AUDITORIA INFORMÁTICA

Proceso

Evaluar

Verificar

Recursos Informáticos

Normas

Políticas

Procedimientos

Para

De

Del De

De

Estándares

OBJETIVOS AUDITORIA INFORMATICA

Asegurar:

La integridad de los datos e información,

La confidencialidad de los datos e información y

La Disponibilidad de los datos e información.

Evaluar que los controles garanticen la seguridad

del personal, los datos, el hardware, el software y

las instalaciones.

Prever la existencias de riesgos para la información

y el uso de Tecnologías de información.

Evaluar la aplicación de las normas, las políticas, y

los procedimientos informáticos.

IMPORTANCIA DE LA AUDITORIA INFORMATICA

Auditoria

Informática

Mide Desempeño de

Las tecnologías de Información Controles

normas,

políticas

Mejoramiento Continuo

Integridad

Confidencialidad

Disponibilidad

Para garantizar

De la Gestión Informática

De los recursos Informáticos

ETAPAS DEL TRABAJO DE AUDITORIA

Planeación

Ejecución

Información.

ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA

Planeación

Identificar la infraestructura informática del centro de

computo.

Conocer las políticas, normas, procedimientos y

estándares de esta área

La Planeación debe definir:

Objetivos.

Técnicas a utilizar.

Personal participante, duración, horario, Alcance

Elaboración de cronogramas

Calculo de la muestra, Diagramas de Pareto,

aplicación de formulas, diagramas de flujo,

ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA

EJECUCION

Revisión y evaluación de controles, normas,

políticas de seguridad, diagramas, procesos

históricos (backups), documentación.

Examen detallado de áreas criticas.

Análisis de Vulnerabilidad, Amenazas y Riesgos

evaluación de Riesgos y su impacto.

Recolección de evidencias y hallazgos

Hallazgos de auditoría

Hechos relevantes que significan debilidad en el

control interno y resultan de la comparación del

Deber Ser con el ES (evidencia de auditoría).

NOTA Los hallazgos de la auditoría pueden

indicar tanto conformidad o no conformidad y

pueden generar oportunidades de mejora.

CLASIFICACIÓN DE LOS HALLAZGOS

Desviación Positiva

Cuando el desempeño obtenido supera lo esperado (fortaleza)

Desempeño esperado= Conformidad

Desviación Negativa: Cuando el resultado se encuentra por debajo de lo esperado se genera: No conformidad

aspecto por mejorar

oportunidad de mejora.

CLASIFICACIÓN DE LOS HALLAZGOS

Las no conformidades se consideran como tal cuando:

Se incumple con un requisito, de una norma o política o procedimiento de la organización. Este tipo de desviación afecta el normal desarrollo del negocio.

Impactan los objetivos de la empresa.

Impactan la parte económica.

Impactan los resultados de la organización.

Incumplen requisitos legales.

CLASIFICACIÓN DE LOS HALLAZGOS

Las oportunidades de mejora se dan cuando:

Se presenta incumplimiento por

desconocimiento de normas internas.

fallas leves encontradas en normas, políticas o

procedimientos internos.

Problemas de comunicación interna.

Falta de actualización de normas, políticas o

procedimientos.

ELEMENTOS DE UN HALLAZGO

CONDICION: Lo que Es.

La situación encontrada, debe detallarse los

elementos que se encontraron.

CRITERIO: Lo que debe Ser.

Es la norma o política o procedimiento con el

que se compara la condición

CAUSA: Por Que.

Razón porque ocurrió la condición. El porque de

la diferencia entre el criterio y la condición

EFECTOS: Las consecuencias.

Puede ser perdidas económicas, daños a la

imagen, sanciones legales, gastos indebidos,

informes inexactos, uso ineficiente de los

recursos humanos o financieros etc.

Una adecuada identificación de los efectos,

permite adoptar acciones correctivas.

CONCLUSIONES: basadas en los hallazgos

RECOMENDACIONES: Anular o mejorar la

condición

ETAPAS PARA REALIZAR UN TRABAJO DE AUDITORIA

INFORMACION

Redacción del Informe final (comunicación de resultados:

Relación de evidencias y hallazgos.

Conformidades y no conformidades encontradas.

Causas.

Sugerencias.

Solicitud de planes de acción.

OBJETIVOS ESPECÍFICOS DE LA AUDITORIA

INFORMÁTICA

• Comprobar la seguridad y confiabilidad de la

información.

• el control de la función informática,

• el análisis de la eficiencia de los Sistemas

Informáticos,

• la verificación del cumplimiento de la

Normativa en este ámbito.

• la revisión de la eficaz gestión de los

recursos informáticos.

CAUSAS PARA INICIAR UNA A.I.

Baja Productividad de los empleados que trabajan con sistemas de información.

Informes que se entregan a destiempo o con errores.

Perdida o Ausencia de datos.

Fallas constantes de los sistemas de Información.

Aumento considerable e injustificado del presupuesto del Dpto. de Informática.

Descubrimiento de fraudes efectuados con el computador.

CAUSAS PARA INICIAR UNA A.I.

No definición de políticas, objetivos, normas,

metodologías computacionales.

Descontento general de los usuarios por

fallas en los sistemas de información.

Verificación de los controles de seguridad

establecidos por la implementación de

nuevas tecnologías.

TECNICAS DE AUDITORIA

TECNICAS DE AUDITORIA

Son las prácticas de investigación y prueba

que utiliza el auditor para obtener la evidencia

necesaria que fundamente sus opiniones y

conclusiones.

Su empleo se basa en su criterio o juicio, según

las circunstancias.

CUESTIONARIOS

Son formatos previamente diseñados por el

Auditor sobre un tema especifico y que se

entregan al auditado, con el fin de que lo

diligencie.

Los datos contestados se confrontan con otros

medios.

INSPECCIÓN

Técnica que consiste en hacer una revisión o

examinar los recursos informáticos de la

empresa (Hardware, Software, Redes,

Comunicaciones)

Esta técnica se aplica sobre los objetos como:

hardware, software, redes, documentos, normas,

procedimientos, políticas, no se aplica sobre

personas como: clientes internos o clientes

externos, proveedores.

LA ENTREVISTA

Es una de las actividades personales más

importante del auditor; en ellas, recoge más

información y mejor matizada que la

proporcionada por medios como las respuestas

escritas o cuestionarios.

La entrevista entre auditor y auditado se basa

fundamentalmente en el concepto de

interrogatorio.

CONFIRMACIÓN

Consiste en comprobar la veracidad y

confiabilidad de las evidencias. Esta puede ser

con entidades internas como un usuario o un

departamento o entidades externas como

proveedores, clientes, entidades del estado etc.

MATRIZ DOFA

Debilidades – Oportunidades – Fortalezas –

Amenazas.

Al interior de la organización: examinar

fortalezas, y debilidades.

Al exterior de la organización: examinar

oportunidades y amenazas

EL CHECKLIST

Es un formato u hoja de verificación, para

realizar revisiones sistemáticas o

cumplimiento de requisitos en un sistema de

información, en el cumplimiento de normas,

políticas o procedimientos, con respuestas

cerradas (si, no) o con calificaciones

cuantitativas.

TIPOS CHECKLIST

Los cuestionarios o Checklist responden

fundamentalmente a dos tipos de "filosofía" de

calificación o evaluación:

Checklist de calificación o rango

Contiene preguntas que el auditor debe

puntuar dentro de un rango preestablecido por

ejemplo, de 1 a 5, siendo 1 la respuesta más

negativa y el 5 el valor más positivo.

TIPOS CHECKLIST

Las respuestas tienen los siguientes

significados:

1 : Muy deficiente.

2 : Deficiente.

3 : Mejorable.

4 : Aceptable.

5 : Correcto.

TIPOS CHECKLIST

Checklist de evaluación o Binario

Es el constituido por preguntas con respuesta

única y excluyente: Si o No. Aritméticamente,

equivalen a 1(uno) o 0(cero), respectivamente.

TECNICAS DE AUDITORIA

Trazas o Huellas:

El auditor informático debe verificar que los

programas, realicen exactamente las funciones

previstas, y no otras. Para ello se apoya en

Software un especial, que permite rastrear los

caminos que siguen los datos a través del

programa, verificando entre otras las

validaciones de datos previstas.

TECNICAS DE AUDITORIA

Log:

El log es un historial que informa todo lo que

hizo la Aplicación al ingresar, modificar, y borrar

datos, (quien cuando, donde), todo queda

grabado en el log como una transacción.

El log permite analizar cronológicamente que

fue lo que sucedió con los datos.

Carlos A Jara